《中华人民共和国个人信息保护法》于2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议通过，于2021年11月1日起施行。

这些情形下，谨防泄露患者信息

北京儿童医院 曾跃萍    中国政法大学 刘鑫

随着信息技术的发展，个人信息被传播、泄露和违法使用的情况日益增多，而且对侵犯个人信息和隐私权利等行为的追责难度也在加大，因此，近年来我国相关立法也日趋严格。《中华人民共和国刑法》第七修正案、第九修正案规定和调整了“出售、非法提供公民个人信息罪”，《中华人民共和国民法典》中有多项条款涉及公民个人信息和隐私的保护。《个人信息保护法》更是以8章74条予以规制。鉴于医疗卫生工作会涉及采集、记录、使用、处理患者及相关人员的个人信息，而且涉及隐私和敏感信息，《个人信息保护法》的颁布实施将会对医院的医疗工作、病历书写和管理工作产生影响。这既涉及卫生行政管理部门制订文件、健康管理病例报告、医疗卫生执法等工作，也涉及医疗机构医务人员、管理人员对患者健康信息的采集处理工作。

情形一：病历书写和管理

《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。病历是医务人员在诊疗过程中对患者信息的采集、记录、存储、加工、使用，形成与患者身体、生活等密切关联的文件，因此，病历书写与管理属于医疗机构对患者的个人信息进行处理，除了要遵守医疗卫生管理法律法规、病历书写和管理规定外，还应当遵守《个人信息保护法》《民法典》等法律的规定。同时，医疗机构也应当加强对医务人员保护和尊重患者个人信息的教育，在诊疗工作中注意对患者个人信息的保护。《个人信息保护法》专门对敏感个人信息加以规定。该法第二十八条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。该法第二十九条规定，处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。该法第三十一条对未成年患者的个人信息处理作出规定，个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。有鉴于此，笔者建议医院在患者就诊须知、挂号凭证、入院知情同意书等与患者就诊有关的文件上，应当有相关的提示信息，必要时由患者或其监护人签字。尤其对于不满十四周岁的未成年患者更要谨慎。

情形二：查阅复制病历

信息处理单位应当保障本单位处理公民个人信息方面的权利，公民享有如下权利：个人信息的知情权、决定权和拒绝他人访问权。《个人信息保护法》第四十四条规定，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。因此，针对个人信息属于个人所有这一点，医疗机构需要加大对医务人员的宣传教育。个人信息的查阅权、复制权。《个人信息保护法》第四十五条规定，个人有权向个人信息处理者查阅、复制其个人信息，个人信息处理者应当及时提供。这与当前我国相关法律法规对患者病历查阅、复制的要求一致。个人信息的补充权、纠正权。《个人信息保护法》第四十六条规定，个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。因此，对于患者要求纠正、补充病历中的内容，只要患者提供了必要的证明材料，履行了相关手续，医疗机构应当予以办理。个人信息删除权。《个人信息保护法》第四十七条规定，如下情形可以要求删除个人信息：处理目的已实现、无法实现或者为实现处理目的不再必要；个人信息处理者停止提供产品或者服务，或者保存期限已届满；个人撤回同意等。由于病历是一种特殊的健康档案文件，有别于一般的个人信息处理，而且病历涉及患者长期连续的健康维护，医院已经采集制作，不得随意删除；否则意味着医疗服务合同的解除。

情形三：发表科研论文

过去，医务人员发表论文，对于患者个人信息的保护主要体现在论文中对患者个人信息进行匿名化处理、对图像做模糊处理，对于审稿等其他环节不太在意。有的时候出版单位在审稿过程中，担心特殊个案的真实性，因而要求医务人员提交病历。现在看来，这种行为应当受到限制，确实需要提供的，应对与患者有关联的信息做匿名化处理。《个人信息保护法》第三十八条规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当通过国家网信部门组织的安全评估，或者按照国家网信部门的规定经专业机构进行个人信息保护认证等。因此，在境外刊物发表涉及患者个人信息的论文，还需要走特殊程序，由有关单位进行审查。医疗机构应当建立本单位科研管理制度，对涉及患者的研究加强伦理审查、保密审查，确保论文投稿前的审查程序不走过场。

情形四：信息保护影响评估

《个人信息保护法》第五十四条、第五十五条规定，医疗机构应当定期对医院诊疗工作中涉及患者个人信息和病历档案的环节、部门，进行审计和个人信息保护影响评估。根据该法第五十一条规定，医疗机构还应当根据患者个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。如，制定内部管理制度和操作规程；对个人信息实行分类管理；采取相应的加密、去标识化等安全技术措施；合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；制定并组织实施个人信息安全事件应急预案等。因此，医疗机构在患者个人信息处理方面，应以病历和诊疗活动两条主线，开展以下工作：将患者个人信息保护纳入医疗机构的各项规章制度，重视患者个人信息保护，尤其要重视病历保管。对医疗机构工作人员加大患者个人信息保护的宣传教育，提高对患者个人信息和隐私保护、保密的意识。筛查可能泄露患者个人信息的隐患，对医疗活动、科室病历管理等环节，加强患者个人信息泄露风险识别，及时封堵存在的漏洞。加强对本机构涉及个人信息处理工作的管理，做好患者个人信息保护的评估工作。

                                                                                                                                                                     （来源：健康报  培训时间：2022.2）